はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ アクセストークン

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 17 / 17件)
 

【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog

2022/08/09 このエントリーをはてなブックマークに追加 131 users Instapaper Pocket Tweet Facebook Share Evernote Clip XSS auth セキュリティエンジニア okazu-dm

はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む

Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog

2022/08/02 このエントリーをはてなブックマークに追加 138 users Instapaper Pocket Tweet Facebook Share Evernote Clip auth セキュリティエンジニア okazu-dm 切り口

はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今か... 続きを読む

GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応 - Publickey

2021/04/05 このエントリーをはてなブックマークに追加 162 users Instapaper Pocket Tweet Facebook Share Evernote Clip プライベートリポジトリ GitHub Publickey

GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応 GitHubは、本来ソースコード中に書くべきではないアクセストークンなどを、コードやアーカイブから発見し通知してくれるSecret scanning機能がプライベートリポジトリでも正式な機... 続きを読む

CIマニアから見たGitHub Actions(Beta)の使い所 - くりにっき

2019/09/09 このエントリーをはてなブックマークに追加 329 users Instapaper Pocket Tweet Facebook Share Evernote Clip beta GitHub Actions くりにっき 並列 メモ

1ヶ月くらい使って勘所が見えてきたのでメモ メリット 1リポジトリ辺り20並列までジョブを並列実行できる ジョブ実行時はアクセストークンが勝手に設定されている マトリクステストがやりやすい 実際にGitHub Actionsに移行したプロダクト zatsu_monitor activerecord-compatible_legacy_migration index_shotgun デメリ... 続きを読む

[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey

2018/10/16 このエントリーをはてなブックマークに追加 296 users Instapaper Pocket Tweet Facebook Share Evernote Clip GitHub Publickey クラウドサービス 速報 発表

[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示... 続きを読む

Facebook、5,000万人分のアクセストークンが流出 - PC Watch

2018/09/29 このエントリーをはてなブックマークに追加 110 users Instapaper Pocket Tweet Facebook Share Evernote Clip Facebook 流出 PC Watch

続きを読む

JWT形式を採用したChatWorkのアクセストークンについて - ChatWork Creator's Not

2018/09/25 このエントリーをはてなブックマークに追加 301 users Instapaper Pocket Tweet Facebook Share Evernote Clip ChatWork not ChatWork Creator

JWTを使うことは難しい? こんにちは、かとじゅん(@j5ik2o)です。最近、JWTに関する以下のブログが話題です*1。 どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org このブログで言及されているのは、JWTをセッションの保存先に選ぶことで「何が問題なの?」に書かれているリスクがあるよ... 続きを読む

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)

2017/07/01 このエントリーをはてなブックマークに追加 279 users Instapaper Pocket Tweet Facebook Share Evernote Clip Developers.IO 2017 基礎 認可 概念 認証

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、
 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)

2017/07/01 このエントリーをはてなブックマークに追加 279 users Instapaper Pocket Tweet Facebook Share Evernote Clip Developers.IO 2017 基礎 認可 概念 認証

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、
 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む

OAuth 2.0 全フローの図解と動画 - Qiita

2017/04/27 このエントリーをはてなブックマークに追加 855 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita YouTube 図解 プロ フロー

RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 認可コードフロー RFC 6749, 4.1. Authorization Code Grant で定義されているフロ... 続きを読む

知っておきたい7つのID連携実装パターン - Yahoo! JAPAN Tech Blog

2014/12/23 このエントリーをはてなブックマークに追加 219 users Instapaper Pocket Tweet Facebook Share Evernote Clip Yahoo JAPAN Tech Blog 7つ くら 実装

Yahoo! JAPAN Tech Advent Calendar 2014の23日目の記事です。一覧はこちら こんにちは、ID連携担当のくら(@kura_lab)です。 みなさんはYahoo! JAPANのWeb APIや認証、エンドユーザーの属性取得APIを実装したことがありますか。これらを利用するためにはYahoo! ID連携を用いてアクセストークンの取得やログインの実装が必要になります。単... 続きを読む

チャット経由でデプロイする[新編] - Qiita

2014/12/05 このエントリーをはてなブックマークに追加 89 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita 新編 GitHub Ruboty 続編

Rubotyを利用してチャット経由でデプロイする方法を示した チャット経由でデプロイする - Qiita の続編。 デプロイ方法 おさらいしておくと、デプロイ自体はr7kamura/ruboty-githubでやっている。あらかじめ1vs1チャットでQiitanにGitHubのアクセストークンを教えておくと、教えてくれた人の命令に従って、Pull Requestを作ったりMergeしてくれたりする... 続きを読む

OAuth - アクセストークンに有効期限を設けるべきかどうか - Qiita

2014/08/27 このエントリーをはてなブックマークに追加 243 users Instapaper Pocket Tweet Facebook Share Evernote Clip OAuth Qiita GitHub API 主張 期限切れ

OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3では... 続きを読む

アクセストークンを取得する(Twitter API)

2014/08/09 このエントリーをはてなブックマークに追加 337 users Instapaper Pocket Tweet Facebook Share Evernote Clip API Twitter API プログラム 途中 コメント欄

Twitter APIの使い方シリーズ、第2回目です。今回は、APIを利用するのに必要な「アクセストークンを取得する方法」を紹介します。もし、脱落しそうになったら不明な点を遠慮せず、コメント欄で質問して下さいね。 1「アクセストークン」とは?この章では「アクセストークン」について、私なりに説明しています。面倒くさかったり、途中で読んで分からない場合は飛ばしてしまって下さい。プログラムを動かしている... 続きを読む

Twitter連携アプリが乗っ取られる 「ツイート数カウントくん」ユーザーが身に覚えのないブロック - ITmedia ニュース

2014/06/16 このエントリーをはてなブックマークに追加 53 users Instapaper Pocket Tweet Facebook Share Evernote Clip Twitter連携アプリ ブロック ツイート数カウントくん

Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発。作者はアプリを削除した。 Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発していたことが分かった。作者の@bombom583さんは6月14日、同アプリを削除。15日付けの告知で、... 続きを読む

WebアプリにSNSアカウントでのログインを実装する(1/5):CodeZine

2012/06/01 このエントリーをはてなブックマークに追加 759 users Instapaper Pocket Tweet Facebook Share Evernote Clip CodeZine ソーシャルネットワークサービス アクセ

「ソーシャルネットワークサービス(SNS)のアカウントによるログイン」は、一般的にOAuth(オーオース)というオープンな仕様を利用して実現しています。OAuthとは OAuthの詳細仕様の説明は省きますが、簡単に言うと、SNSユーザー本人の認可の下、SNS側からアクセストークン(委任状のようなもの)が発行され、それをソーシャルアプリ側が預かる仕組みです。以降、ソーシャルアプリのプログラムがアクセ... 続きを読む

天使やカイザーと呼ばれて » OAuth2.0によるGoogle+ APIのアクセス方法

2011/10/02 このエントリーをはてなブックマークに追加 111 users Instapaper Pocket Tweet Facebook Share Evernote Clip カイザー 天使 API Google+ API プログラミング

Google+のAPIが先日公開されました。API Keyを使ってシンプルにAPIアクセスを試すことができるのですが、本来であればOAuth2.0にてアクセストークンを取得しAPIアクセスする方式でなければ今後公開されるであろうAPI群は利用できないはずですので、ここでOAuth2.0によるGoogle+ APIのアクセス手順を紹介しておきましょう。全手順において、プログラミングをすることなく試す... 続きを読む

 
(1 - 17 / 17件)